1. 更新系统与软件包
保持Ubuntu系统和所有软件包(包括Node.js、npm)为最新版本,及时修补已知安全漏洞。执行以下命令更新系统:
sudo apt update && sudo apt upgrade -y
2. 使用nvm管理Node.js版本
避免使用Ubuntu默认仓库的旧版本Node.js,通过Node Version Manager(nvm)安装和管理特定版本,支持灵活切换版本并获取安全更新:
curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.1/install.sh | bash
source ~/.bashrc
nvm install --lts # 安装最新的LTS版本(稳定且安全)
nvm use --lts
3. 配置防火墙限制访问
使用ufw(Uncomplicated Firewall)仅开放必要端口(如HTTP 80、HTTPS 443、SSH 22),阻止非法IP访问:
sudo ufw allow 22/tcp # 允许SSH远程管理
sudo ufw allow 443/tcp # 允许HTTPS加密流量
sudo ufw enable # 启用防火墙
sudo ufw status # 查看防火墙规则
4. 以非root用户运行Node.js
遵循最小权限原则,创建专用用户(如nodeuser)运行应用,避免root权限被滥用导致系统沦陷:
sudo adduser nodeuser # 创建用户
sudo usermod -aG www-data nodeuser # 添加到www-data组(可选,便于web服务协作)
# 切换至nodeuser用户,启动应用
su - nodeuser
node app.js
5. 强制使用HTTPS加密传输
通过SSL/TLS证书加密客户端与服务器之间的数据,防止中间人攻击。可使用Let’s Encrypt免费证书,并用helmet中间件强化安全头:
# 安装helmet中间件
npm install helmet
# 在Express应用中配置helmet
const helmet = require('helmet');
app.use(helmet()); // 自动设置X-Frame-Options、X-XSS-Protection等安全头
# 配置HTTPS服务器(需提前获取cert.pem和key.pem)
const https = require('https');
const fs = require('fs');
const options = { key: fs.readFileSync('key.pem'), cert: fs.readFileSync('cert.pem') };
https.createServer(options, app).listen(443);
6. 严格过滤用户输入
对所有用户输入(如表单、URL参数、请求体)进行验证和清理,防止SQL注入、XSS(跨站脚本)等攻击。使用express-validator等库实现:
const { body, validationResult } = require('express-validator');
app.post('/submit',
body('username').isLength({ min: 3 }).trim().escape(), // 验证长度并转义HTML
body('email').isEmail().normalizeEmail(), // 验证邮箱格式
(req, res) => {
const errors = validationResult(req);
if (!errors.isEmpty()) {
return res.status(400).json({ errors: errors.array() });
}
// 处理合法输入
}
);
7. 监控日志与异常行为
收集系统日志(/var/log/syslog)和应用日志(如使用winston或bunyan),定期检查异常活动(如频繁登录失败、非法请求):
# 查看系统实时日志
sudo tail -f /var/log/syslog
# 使用winston记录应用日志(示例)
const winston = require('winston');
const logger = winston.createLogger({
level: 'info',
format: winston.format.json(),
transports: [new winston.transports.File({ filename: 'app.log' })],
});
logger.info('Application started');
8. 定期审计依赖项安全
使用npm audit检查项目依赖中的已知漏洞,自动修复可修复的问题;npm outdated查看过时依赖,及时升级到安全版本:
# 安装npm-audit(可选,增强审计功能)
sudo npm install -g npm-audit
# 运行安全审计
npm audit
# 修复可自动修复的漏洞
npm audit fix
# 升级过时依赖
npm outdated # 查看过时依赖
npm update # 升级所有依赖
9. 配置AppArmor限制进程权限
AppArmor是Linux内核安全模块,可限制Node.js进程对文件系统、网络的访问。启用并自定义AppArmor配置文件(通常位于/etc/apparmor.d/):
# 检查AppArmor状态
sudo aa-status
# 编辑Node.js应用的AppArmor配置文件(如/usr/sbin/node)
sudo nano /etc/apparmor.d/usr.sbin.node
# 添加限制规则(示例:禁止访问/etc/shadow)
deny /etc/shadow rwx,
# 重新加载AppArmor配置
sudo systemctl reload apparmor
10. 安全存储敏感信息
将数据库密码、API密钥等敏感信息存储在环境变量中(通过.env文件或系统环境变量),而非代码中。使用dotenv库加载环境变量:
# 安装dotenv
npm install dotenv
# 创建.env文件(添加敏感信息)
DB_PASSWORD=your_secure_password
API_KEY=your_api_key
# 在代码中加载.env文件
require('dotenv').config();
const dbPassword = process.env.DB_PASSWORD;
11. 限制子进程权限
使用child_process模块时,通过cwd(工作目录)、env(环境变量)、stdio(标准流)等选项限制子进程权限,避免执行危险命令:
const { spawn } = require('child_process');
const child = spawn('ls', ['-la', '/tmp'], {
cwd: '/tmp', // 限制工作目录为/tmp
env: { ...process.env, NODE_ENV: 'production' }, // 限制环境变量
stdio: 'pipe', // 控制标准流(避免继承父进程)
});
child.stdout.on('data', (data) => console.log(`Output: ${data}`));
child.stderr.on('data', (data) => console.error(`Error: ${data}`));
child.on('close', (code) => console.log(`Child process exited with code ${code}`));